关于“屏幕键盘”后门，以下说法错误的有（ ）。

这是一道关于Windows系统安全及“粘滞键/屏幕键盘”后门原理的题目。我们需要分析每个选项的正确性，从而找出**错误**的说法。 ### 核心知识点解析 在Windows系统中，所谓的“屏幕键盘后门”通常指的是利用**辅助功能快捷键**（如连续按5次Shift键激活粘滞键，或登录界面点击轻松访问图标启动屏幕键盘）来替换系统文件，从而在未登录状态下获取SYSTEM权限的命令提示符（CMD）。 1. **激活方式**： * 传统的“粘滞键”后门是通过连续按 **5次 Shift 键** 触发的。 * “屏幕键盘”（On-Screen Keyboard, OSK）通常是在登录界面的“轻松访问”菜单中点击启动，或者通过特定的辅助功能设置触发，并**不是**通过 `Win+P` 或 `Win+Q` 这种常规的组合键直接作为“后门”激活的。 * `Win+P` 是投影/多显示器切换快捷键。 * `Win+Q` （在Win10/11中）通常是打开搜索/Cortana的快捷键。 * 因此，选项 A 和 B 描述的激活方式是不正确的。 2. **文件替换原理**： * Windows 的屏幕键盘程序主文件是 **`osk.exe`**，位于 `C:\Windows\System32\` 目录下。 * 制作后门的核心步骤是将原始的 `osk.exe` 替换为 `cmd.exe`（命令提示符），并将文件名保持为 `osk.exe`。这样当系统尝试启动屏幕键盘时，实际上启动的是具有SYSTEM权限的CMD。 * 选项 C 提到的文件名为 **`osks.exe`**，这是一个错误的文件名。正确的文件名是 `osk.exe`。因此，替换 `osks.exe` 无法实现该后门功能，该说法错误。 * 选项 D 提到替换 `dllcache`（在较新版本Windows中可能是 `WinSxS` 或受保护的系统文件缓存）中的 `osk.exe`。虽然现代Windows有WFP（Windows文件保护）机制，防止简单替换，但在老式后门教程或理论探讨中，为了确保持久化或绕过某些检查，攻击者确实可能需要处理系统缓存目录下的备份文件。更重要的是，相比于A、B、C的明显事实错误，D选项涉及的文件名 `osk.exe` 是正确的，且路径指向了系统保护机制相关的目录，在某些语境下被视为后门制作过程中需要考虑的一环（尽管直接替换System32下的文件更常见，但D本身描述的操作对象文件名正确）。*注：在很多此类考试题库中，重点在于区分文件名 `osk.exe` 和错误的 `osks.exe`，以及错误的快捷键。* ### 选项逐一分析 * **A. 通过键盘的“Win+P”组合键激活**：**错误**。`Win+P` 用于切换投影模式，与屏幕键盘或粘滞键后门无关。 * **B. 通过键盘的“Win+Q”组合键激活**：**错误**。`Win+Q` 用于搜索，与后门激活无关。常见的辅助功能触发是连按5次Shift。 * **C. 替换c:＼Windows＼system32＼osks.exe文件**：**错误**。屏幕键盘的可执行文件名为 `osk.exe`，不存在 `osks.exe` 这个标准系统文件。替换错误的文件名无法生效。 * **D. 替换c:＼Windows＼system32＼dllcache＼osk.exe文件**：**相对正确/非本题要求的错误项**。虽然现代系统机制复杂，但该选项指出了正确的目标文件名 `osk.exe`。在单选题或多选题的逻辑中，A、B、C存在明显的原理或事实错误，而D至少文件名是对的。题目要求选“错误的”，ABC均明显错误。 ### 结论 题目要求选出**说法错误**的选项。 * A 说法错误。 * B 说法错误。 * C 说法错误（文件名错）。 * D 说法在后门原理语境下通常不被视为主要错误点（文件名正确）。 因此，错误的选项是 **A、B、C**。 **正确答案：ABC**